![ウェブパ[web制作・ホームページ制作]](https://web-pack.jp/wp-content/uploads/2017/05/cropped-header_logo.png){kind=logo}
サイトセキュリティについて(攻撃方法編03)
この記事をシェアする
さて、今回もサイトの攻撃方法についてご紹介していきましょう。
今回ご紹介するのは「HTTPヘッダーインジェクション攻撃」と呼ばれる攻撃方法です。
HTTPヘッダーインジェクション攻撃とは
サイトを閲覧する際に送信したり受信したりするリクエスト時のデータ(ユーザーが設定できる「リクエストボディ」 )に、悪意のあるコードが埋め込み「リクエストボディ」を改ざんし、本来と違った内容のWebコンテンツが表示される攻撃方法です。 仕組まれたページへ移動することでユーザーのデータを抜き取り悪用します。管理者のログインページなどでも行うことが可能ですので、管理者ID とパスワードを抜き取ることが出来ます。
もしかすると、ショッピングサイトでカードを入力したら実は関係のない攻撃者にカードの番号と暗証番号が送られているということもあるかもしれませんね…
攻撃対象となる場所
主に、お問合せフォームやログインページなどで行われます。ワード プレスでは、ログインページのファイルは「wp-include/wplogin.php」となっているので、ぬき取りがしやすくなってしまいます。
対策方法
・https接続にする。
そもそものサイトを暗号化させて、HTTP接続を保護するという方法があります。最近では無料で使えるSSLなども出てきているのでご相談いただければと思います。
・書き換えが出来ないよう、パーミッションの設定を変更する。
ファイルの書き換えを防ぐためにパーミッションと呼ばれる許可リスト的なものをきっちり決めておくことも必要です。すべてのアクセスから変更可能となっていることもあるので、チェックしてみるのもいいかもしれません。
・エスケープ対策をする。
文字列が入ってくるとは限らず、実際にプログラムを入れてくる可能性もあります。ですので、プログラムが送信されている場合は、文字列として処理をする。そもそもないものとするなどの対策をすることで防げることもあります。
